BFW Firewall & Router

[karkano]

Mi consulta es la siguiente:
Que conviene que mi Acces Point (senao) realize el control de accesso por mac (acl) o dejarlo sin filtros, y que realize el control de acceso por MAC + IP mi brazilfw.
Esto va ya que tengo completo la cantidad de usuarios por A. Point (:lol:) ,
realizando esto mejoraria el trafico ya que le quitaria procesos al A. Point. ??
En definitiva QUE ME CONVIENE ???

Saludos++

[juancho]

Si lo dejas abierto y no tienes otros controles que le mac-ip, si descubren cual es tipo y rango de ips que usas, y le colocan manualmente un ip válida a una maquin que no esta en tu red.. seguramente navegara... yo utilizo las dos formas... mientras más niveles de seguridad tengas mejor....


P.D borra los otros 2 post ya que estan repetidos

[soporte_tecnico]

buenos dias,, yo por mi parte en lo que a mi respecta prefiero hacer los controles de ipmacs en el argento bridge, no usaria recursos del ap para quitarle CPU, las redes wireless son muy vulnerables.
Ya que en tu caso el senao depende el modelo toma mucho recurso de CPu para las macs,, y eso condiciona que los a la cantidad y calidad de servicios y usuarios.
Salu2.

[digimat]

Que conviene que mi Acces Point (senao) realize el control de accesso por mac (acl) o dejarlo sin filtros, y que realize el control de acceso por MAC + IP mi brazilfw.

Estoy de acuerdo con soporte tecnico mientras menos carga tenga tu AP podra soportar mas usuarios. por cierto cuantos usuarios inalambricos tienes conectado.

[karkano]

Juancho, el tema es que en la lista del accespoint no tengo mas lugar para agragar MACs, tengo unos 50/60 usuarios y se me complica, por eso la idea es dejarle el filtrado por MAC a brazilfw, agregue las mac en mac permitidas y las ip en ip permitidas, ademas le asigne a cada mac una ip especifica en reservas de dhcp.
creo que esta todo bien ? ustedes que opinan ? Que harian?
gracias...

[digimat]

karkano, todos tus clientes son wireless....?, hazlo todo desde el ArgentobR se te hara mas facil. Por lo tanto podras meter mas clientes...

[karkano]

SI ESOS 50/60 CLIENTES SON WIRELESS Y SE COMPLICA UN POCO....

[digimat]

Por cierto que modelo de Senao tienes para soportar esos 60 usuarios y que antenas utilizas, no haz tenido problemas? manejalo todo con brazil.

[nachazo]

El problema de dejar los aps abiertos es la vulnerabilidad....

Si yo fuera vecino de ustedes trataria de navegar y si no puedo de malo que soy me pondria la ip del default gateway y nadie navegaria....

Ya que dejaron al ap abierto... Los usuarios inalambricos obtendran mi mac como el default gateway y experimentarian serios problemas de navegacion...

Lo mejor es poner wep o wpa.... Si no lo hacen tarde o temprano tendran este problema que les mencione.

Saludos.

[Oz]

Hola saludos!, yo usaria control por ip en el ap y control por MAC en el brazilfw, para no dejar expuesto el ap y no cargar tampoco al brazilfw.

[juancho]

Juancho, el tema es que en la lista del accespoint no tengo mas lugar para agragar MACs, tengo unos 50/60 usuarios y se me complica, por eso la idea es dejarle el filtrado por MAC a brazilfw, agregue las mac en mac permitidas y las ip en ip permitidas, ademas le asigne a cada mac una ip especifica en reservas de dhcp.
creo que esta todo bien ? ustedes que opinan ? Que harian?
gracias...

Ya en ese caso usa una clave wep a wpa, asi tienes otro nivel de seguridad y puedes conectar más usuario.. pero algo si te recomiendo..no lo dejes abierto

[jcmr79]

Dejar abierto mis router o cual quier AP en mi zona??? seria para que cualquiera de mis competencias vendan sus servicios como si fuesen de ellos pero con mi red y yo sin darme cuenta... Nop!! por eso minimo uso control MAC en mis router y AP, luego aplico control IP+MAC en BrazilNAT y caso resuelto.....

.

[karkano]

Ya le puse WPA, pero no entiendo una cosa, si yo dejo el A.Point libre este dejara pasar los clientes pero TODOS llegarian aL BRAZILFW el cual, tiene CONTROL POR MAC, Y POR MAC + IPS Y ESTE LES DENEGARIA EL SERVICIO AL QUE NO ESTE HABILITADO Y A TODA MAC E IP + DESCONOCIDA... NO????

Yo lo tengo asi DESDE HACE UNOS DIAS (5)y me esta funcionando sin nungun problema... (inclusive el servicio mejoro en cuanto a prestaciones)

jcmr79, YA SE QUE SE PODRIAN CLONAR LAS MAC, ETC, ETC +++, pero eso tambien puede pasar en A. PONT CERRADO Y CON CONTROL POR MAC,
O ESTOY EQUIVOCADO ??

(YO he probado de clonar una mac con "etherchange" y "sniffear" el aire con netstumbler y realizar pruebas en MI A.Point con control por MAC Y MAC+IP, y si se da quE uno puede conseguir la ip que le corresponde a una maq o sea la combinacion de ambas ENTRA !!) POR ESO PUSE WPA...
pero por suerte todavia no hay problemas en mi ciudad de ese tipo, ya que es una ciudad muy chica y "nos conocemos todos".... cuando mucho si veo alguna mac rara (ej, MAC de un usuario que es escritoro o negocio a las 2 A.M, que teoricamente estaria cerrado la empiezo a "controlar" ).
en definitiva ya se que wireless es muy inseguro pero... voy a seguir porbando unos dias mas DEJANDOLE EL CONTROL A MIS BRAZILFW y veo cuando mucho activo nuevamente el control en los APOINT. SLUDOS

[soporte_tecnico]

Yo mis ap los tengo con WPA2, la autenticacion por macsip se la dejo a mi bridge, ciudado el tema de autenticacion tampoco es una gran seguridad estoy leyendo un libre de wireles que fue editado el año pasado y ya estan declando que las claves wep son consideradas como vulnerables y debiles.
Es mas Wifi ( que una organizacion de certificacion para productos Wireless que prueba la compatibilidad de los productos con los estandares 802.11 )(http://www.wi-fi.org) considera a la autenticacion wep como no segura.
Llendo un poquito mas lejos todos los productos que tengas el logo Wi-Fi significa que fueron certificados por esta organizacion y cumple con los estandares 802.11.... Algo para compartir,, Saludos..

[jcmr79]

jcmr79, YA SE QUE SE PODRIAN CLONAR LAS MAC, ETC, ETC +++, pero eso tambien puede pasar en A. PONT CERRADO Y CON CONTROL POR MAC,
O ESTOY EQUIVOCADO ??

si se conectaria, pero si una persona consigue la convinacion y luego llega el cliente y se conecta resulta que encontaremos dos ips iguales y el mismo windows XP dara el error, es por lo menos una forma de estar alerta ya que el cliente te llamara para avisarte que existe un conflicto de IPs, esto tambien solo pasara si esta algun hacker cerca o alguien jugando con los snifer, en estamos igual a riesgo pero no es tna facil lograr este tipo de cosas....

.

[abrahamhs]

Saludos a todos

Yo creo que una buena solución es usar portal cautivo tratar de implementar nocat y software de este tipo en nuestro sistema.

[nachazo]

Lo que no entienden algunos es que elproblema surge si pueden entrar al accespoint....

no importa si no navegan... si entran al ap estan muertos! no importa si el brazil hace control o no... el brazil hace control sobre internet, pero no puede prevenir ataques a la red wifi...

Hay muchos tipos de ataques y les recomiendo usar como minimo wep....

wep es devil pero alguno de ustedes rompio algun wep?

si lo hicieron los felicito, pero creo que muy poca gente tiene ganas de andar sniffeando durante dias para juntar la data suficiente como para romper un wep...

Seguro despues de esto va a decir alguien que el fbi rompio un wep en menos de 10 minutos... y asi fue asi lo hiso en menos de 10 minutos se puede hacer.. Pero se necesitan 2 laptops (muy buenas) pericia, conocimientos suficientes y algo de experiencia...

Yo por suerte no me cruse con nadie que me alla roto el wep todavia... si me han pasado el control de mac... y tuve que poner wep...

El dia que rompan el wep tendre que poner wpa... De momento wep porque tengo muchos equipos que no admiten wpa.

Saludos.

[masta]

nachazo no hace falta ser un genio para reventar una wep en menos de 10 minutos tampoc estar snifeando dias para obeter data suficiente

un live cd , una placa q soporte modo monitor en linux y leer 5 minutos de tutoriales

si keres te envio la data x pm y lo podes probar


yo lo vengo utilizando para probar mis ap a ver q nivel de seguridad tengo
pero x mera diversion me puse a chusmear en mi zona y encontre bastantes wifis con wep
algunos muy bien configurados y con exelente seguridad
pero para darte el ej un provedor wireless de mi zona tiene wep la cual me costo unos 15 minutos obtenerla
lo cual amablemente les informe ya q son conocidos mios y ahora cambiaron a wpa
q tambien es posible obtener pero es mucho mas complicado y cuando ya es complicado el usuario comun busca , lee y abandona al ver la complejidad
pero yo les recomiendo wep minimo
wpa si es posible + mac y ip
con eso les complican la existencia a cual persona q haga el intento inutil de colarse a su wlan
lo otro bien sencillito es no trasmitir el ssid pero se complicarian las cosas cuando se instala un cliente
pero bue todo es solucionable

queria aclarar q mis conocimientos de linux son muy basicos y me dedico a la telefonia celular y nada q ver con lo q es wifi q me gusta mucho y lo tengo como hobby
este post es sin intencion de agredir a nadie !! y mucho menos faltarle el respeto a alguno !!

e probado brazilfw y argento y me parece fabuloso el desarrolo q se hace aca !!

[cemaraya]

Bien, mis experiencias son....

Access Point principal: Senao 2611 CB3 plus

Modo de trabajo: abierto, sin trabas mac

Seguridad establecida: WEP ( los Senao estos no tienen WAP, lastima...)

Control de mac - ip en ArgentoBridge mediante "simple_class_id_mac" en Qos de ArgBridge.

Cantidad de usuarios wireless soportados hasta ahora, sin problemas aparentes: 48 totales ... simultáneos 20/25

Salutessss.....

[jcmr79]

aka mi experiencia muy reciente algo resumida.......

bien, luego de fabricar una antena tipo parabolica de unos 60 CM con una antena de 2 DBI a unos 600 metros y haber logrado una tranferencia de unos 36 MB efectivos la alegria se fue al suelo luego de 2 dias,

pase como unas 3 semanas renegado a no usar claves ni WEP o WPA, despues de estas 3 semanas hacen 4 dias decidi colocar clave WEP a solo esos dos AP que tengo de punto a punto y desde ese mismo tiempo mi red no es de 36 MB porque bajo un poco, pero si es de unos 24 MB que son suficientes para mi y para mi red, todo gracias a la WEP que luego la migrare a WPA y a WPA2, pero por ahora mi mas y mejor recomendacion para todos los que usen estos enlaces es que no dejen de usar algun tipo de claves de encriptacion ya que desde hace 4 dias sea quien sea que se estubo conectando a mi red y probocando una lentitud increible en mi LAN debe andar algo triste por ya no tener internet o debe andar buscando algun tipo de herramientas para rebentar mi clave WEP y eso que apenas es una clave muy chica....

[Guaripolo]

yo la verdad no creo en la encripción wireless, o como dijo un vago de ECOM CHACO (la empresa de comunicaciones de la provincia vecina a la mía): EN WIRELESS NO HAY SEGURIDAD!!!

Por mi parte desde que tengo un AP no me gustó el tema de la clave WEP porque los clientes cada 2x3 hacen algo increible como para borrarla y/o perderla. Con el brazil pongo filtrado MAC+IP y anda todo bien. La verdad en mi caso no creo que puedas ponerte la ip de mi gateway o del AP, si te pones la del gateway, bueno, no tenes internet. Y si te pones la del AP, creo que tampoco (igual es buena idea probar, lo voy a hacer despues).

Por suerte también vivo en una ciudad donde hablar de wireless es como chino básico.

[jcmr79]

Guaripolo, en mi caso uso WEP solo para el Punto a Punto, para los clientes filtado MAC, me pasa lo mismo que a ti, los clinetes las borras y cualquier cantidad de cosas y hay que estarlos visitando a cada momento.....

.

[Guaripolo]

ah ok, es una buena idea...si tuviese dos AP´s...pero no tengo...la voy a tener en cuenta en un futuro cuando amplie la pequeña red.

Che por cierto (y muy fuera del tópico)...¿porque tu foto se parece a la del general? (ese que canta pata pata).

[jcmr79]

jajajaja... Guaripolo, esa foto nacio de un dia que no tenia nada que hacer en mi casa.....

si usa solo 1 AP para dar señal a los clientes y a la ves que haga de repetidor, la wifi en general tendra muchos retardos y caidas, por eso es mejor colocar un AP que haga de Punto a Punto y y muy cerca otro que haga el reparto de la señal WiFi  los clientes....

esas pruebas las hice a full candela con apenas el juego WarCraft, mientras dos nosotros jugabamos el tercero no podia navegar o el nos tumbaba el juego, luego de agregar un AP adicional, todos fuimo felices.....  :mrgreen:


.

[juancho]

Reviviendo el post, lo fastidioso de las claves es que si alguien te llama porque detecto tu red con un portatil..debes darle la clave para que pueda conectarse...ya alli se pierde la ventaja de la web o wpa etc, yo realmente creo que colocando

filtrado Mac+Control ip-mac en brazil+portal captivo donde el usuario ingrese login y pass... se tiene


Digo esto porque creo haber localizado a alaguien que clono la mac de un cliente.. este cliente siempre me llama diciendo que no tiene conexion pero siempre lo veo conectado al ap

[nachazo]

el tema esta en dar las wep... yo jama digo la clave a nadie...

Instalo la antena cliente en la casa de mi usuario y la clave la pongo yo y no se la digo...

Sino se conectan al otro dia 4 vecinos con sus notebooks aunque sea para molestar!

[juancho]

Claro pero fijate yo tengo 4 clientes que simplemente compraron ellos sus pci-wifi+antena y me llamaron para que le sidera acceso y no son los primeros.. incluso hay unos que ni los he visto por primera vez, simplemente correo electronico

[jcmr79]

Claro pero fijate yo tengo 4 clientes que simplemente compraron ellos sus pci-wifi+antena y me llamaron para que le sidera acceso y no son los primeros.. incluso hay unos que ni los he visto por primera vez, simplemente correo electronico

Yo no tendria tanta confianza con los clientes....

aunque ellos compren todo yo simplemente me voy a sus casas y les configuro la navegacion, no les doy nada de info porque luego descubro que son ingeniros no se de donde e inventan de todo.....

no te extrañes que alguno de ellos te tenga clonada la MAC en un router que te este nateando y tengan unas 4 o 6 maquinas detras... pues ellos ya tienen la clave WEP


.

[masilvad]

Yo en mi pequeña red tengo clave wep de 10 digitos en los AP, además en el brazilfw tengo activado el filtro MAC+IP + el portal easycaptive y para completar no utilizo DHCP

[juancho]

y por casualidad no tienes dispositivos rsa???

[masilvad]

y por casualidad no tienes dispositivos rsa???

no entiendo....

[juancho]

son unos token que cambian clave cada cierto periodo de tiempo.. se generan aleatoriamente y lo usan mucho empresas grandes para darl acceso a los empleados desde otras localidades

http://www.rsa.com/press_release.aspx?id=8387

y aqui unas imagenes del fulano

http://upload.wikimedia.org/wikipedia/c ... Tokens.jpg

[El guapo Dan]

wep es devil pero alguno de ustedes rompio algun wep?

Despierto este post para decirles:
Malas noticias chicos...

Hoy, noche de 2 de feb y madrugada de 3 de feb de 09, logré romper 7 weps de 64 bits en 4 horas, y comencé desde 0 o sea no sabia casi nada del tema, de hecho estoy escribiendo este mensaje desde un ruteador roto, supongo que es de mi vecino...

Esto realmente me ha puesto a temblar, yo tengo 7 Aps, todos con wep..., mañana trataré de romperlos y posteo resultados...

Saludos.

[joseluissoto]

hola a todos les cuento mi experiencia
tengo 2 brazilfw como APS un esta con una antena de 15db omni y un ampli de 1 w, con placa tp-link (anda re bien), en ese brazil tengo control de mac, insolation apagado, y hasta ahora nadie puede entrar al nodo, abajo control de MACS+IP en el bfw bridge, tengo 70 usuarios entre los 2 aps.-
nose si estoy algo corto con el control pero viendo lo que cavernicola pudo hacer me parece que seria bueno implementer WPA, la pregunta seria afectaria en algo WPA(digo en la navegacion o en el control?).-

bueno saludos a todos

jose luis

[gamba47]

Si Dani, es un tema, la WEP se quiebra hasta mirandola, si hay trafico en un ratito sale sola.

la pregunta seria afectaria en algo WPA(digo en la navegacion o en el control?).-

WPA consume más recursos en el AP, los Edimax 7209 no se lo bancan y se ponen locos de a ratos, hay otros que sufren microcortes ya que el nivel de procesamiento es muy alto.


gamba47

[juancho]

Sigo insistiendo, la mejor opcion es radius y un hot post.. hay opcion en esto que permite evitar que los usuarios inicien sesion 2 veces...con eso para mi se evita uno mucho este dolor de cabeza.. porque hasta haciendo control por mac se cargan los AP...

[Lord]

De todas las limitantes que existen la mas grave que veo es la del trafico aereo mientras mas medidas de seguridad pongas mas paquetes de autentificacion necesitas.....

si colocas un filtro mac en los ap ya le pones bastate dificil la tarea a la gente... y mas si usas routers para tus clientes..

[El guapo Dan]

Yo por alguna extraña razon, supongo que por algo así como el síndrome de Estocolmo tenía la sensacion de que mis APs WEP eran por alguna razón desconocida invulnerables , bueno, ya con mas práctica me tomo un promedio de 8 minutos romper la wep de cada uno.

Al momento de estar crackeado las weps son claramente visibles las MACs de los clientes conectados al AP, no lo intenté pero mañana lo voy a hacer, voy a tratar de clonar la mac de uno de mis clientes para autenticarme, por supuesto que yo conosco las IPs permitidas en mi firewall, pero tambien voy a tratar de encontrar una forma de capturar del aire el rango de ips en los que trabajan mis APs.

Entonces:
En la tarea de auditoria de mis wlans los pasos son:

1-Tratar de romper las weps y apuntarlas (pa' que no se me olviden).. (HECHO)
2-Capturar alguna mac asociada con el AP que se está atacando... (HECHO)
3-Clonar una mac y tratar de loguearme con una IP permitida por mi...
4-Tratar de atrapar los rangos validos de IPs del aire...
5-Tratar de capturar del aire alguna mac con alguna ip asociada...
6-Si no puedo loguearme para navegar, trataré de hechar abajo el ap...
7-A ver que mas se me ocurre...

Daniel.

[Lord]

disculpa cavernicola pero tengo una duda....

si lo que necesitas es una red pero q tenga clave cierto?? en este caso wep???


como haces para tratar de conectarte a una que no tiene clave y solo filttrado mac???' con ntestumbler???

[El guapo Dan]

disculpa cavernicola pero tengo una duda....

si lo que necesitas es una red pero q tenga clave cierto?? en este caso wep???


como haces para tratar de conectarte a una que no tiene clave y solo filttrado mac???' con ntestumbler???

Hola Lord.
Curiosamente es el tercer paso de mi lista y es en lo que estoy...
Supongo que clonando una mac, el netstumbler de windows creo que sirve solo para monitorear el aire para encontrar APs.


Saludos.